استفاده نسخه جدید Locky از پسوند asasin

نسخه جدیدی از باج‌افزار Locky در حال انتشار است که به فایل های رمزگذاری شده پسوند asasin. را الصاق می‌کند. به نظر می‌رسد پسوند مذکور برگرفته از کلمه Assassin به معنای قاتل است که حالا به دلیل اشتباه املایی یا شاید به سبب کوتاه کردن تعداد نویسه‌های پسوند به این صورت استفاده شده است.

به گزارش شرکت مهندسی شبکه گستر، روش انتشار این نسخه از باج‌افزار هرزنامه‌هایی با عناوینی همچون Document invoice_95649_sign_and_return.pdf is complete است. در نمونه بررسی شده در این گزارش نشانی فرستنده هرزنامه documents@rightsignature.com بوده است.

مشابه چند نسخه پیشین این باج‌افزار پسوند این هرزنامه‌ها فایلی با پسوند 7zip یا 7z است که در آن یک فایل VBS جاسازی شده است. وظیفه فایل VBS دریافت فایل مخرب Locky از اینترنت و اجرای آن بر روی دستگاه است.

این فایل نام و پسوند فایل‌های رمزگذاری شده را بر اساس الگوی زیر تغییر می‌دهد:

[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[8_hexadecimal_chars]-[12_hexadecimal_chars].asasin

به عنوان نمونه، فایلی با نام 1 و پسوند png پس از رمزگذاری شدن توسط این نسخه از Locky به E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin تغییر نام می‌دهد.

پس از رمز شدن فایل‌های کاربر، فایل مخرب دریافت شده در ابتدا فرآیند رمزنگاری از روی دستگاه حذف شده و اطلاعیه باج‌گیری ظاهر می‌شود.

فایل‌های مربوط به اطلاعیه باج‌گیری در این نسخه asasin.htm و asasin.bmp نام دارند.

توضیح اینکه نمونه بررسی شده در این گزارش با نام های زیر شناسایی می شود:

McAfee
   – RDN/Ransom
   – VBS/Downloader.ea
   – Ransomware-GHE!DBC0AA7E70DF

Bitdefender
   – Trojan.GenericKD.12501554
   – VB:Trojan.VBS.Agent.AOM
   – Trojan.GenericKD.6104564
   – Trojan.GenericKD.12478391

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، گزینه Update Automatic links at open را در این مجموعه نرم‌افزاری غیرفعال کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم‌افزار Office، در زمان باز کردن فایل‌های Macro پیامی ظاهر شده و از کاربر خواسته می‌شود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.